#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Устойчивая угроза атакует корейские корпорации, размещая на корпоративных сайтах вредоносную рекламу с использованием различных общедоступных и собственных вредоносных программ и инструментов.
-----

В последние годы корейские корпорации стали объектом постоянных атак, которые заключаются в размещении вредоносной рекламы на корпоративных сайтах. Для проведения атак используется целый ряд вредоносных программ и инструментов, включая веб-оболочки, Potato, уязвимости повышения привилегий PoC, Ladon, PrintSpoofer, COMahawk, CVE-2019-1405, CVE-2019-1322, CVE-2020-0787, IIS LPE, WinRAR, Go-shellcode, Mimikatz, RunasCs, Sy_Runas и UserClone. Многие из этих инструментов находятся в открытом доступе в Интернете, кроме того, злоумышленники разрабатывают собственные вредоносные программы и комплектуют существующие вредоносные программы VMP для обхода обнаружения файлов.

Известно, что на большинстве скомпрометированных систем в качестве одного из идентификационных признаков угроза использует учетную запись под именем tripod. Угроза использовала уязвимости загрузки файлов на корпоративных сайтах для загрузки веб-оболочек и регистрации задач CredentialTask и CertificateTask для отображения несанкционированных рекламных страниц. Кроме того, злоумышленник использовал вредоносное ПО для копирования привилегий, чтобы предоставить права администратора учетной записи Guest, и использовал Mimikatz для сбора учетной информации.

#ParsedReport #CompletenessMedium
22-08-2023

THREAT ANALYSIS: Assemble LockBit 3.0

https://www.cybereason.com/blog/threat-analysis-assemble-lockbit-3

Report completeness: Medium

Actors/Campaigns:
Blackmatter

Threats:
Lockbit
Stealbit
Conti
Vssadmin_tool
Uac_bypass_technique
Bloodystealer
Process_injection_technique
Credential_dumping_technique

Industry:
Government, Military

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


TTPs:
Tactics: 8
Technics: 18

Soft:
psexec, winscp, macos, papercut, fortinet fortios, indows service

Algorithms:
aes

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков вымогательского ПО LockBit выпустила различные версии и инструменты, а также обновила их, чтобы атаковать несколько операционных систем. На GitHub появилась утечка двоичных файлов сборки LockBit 3.0 и DLL, что позволило защитникам провести анализ, а другим группировкам вымогателей - использовать сборку LockBit. LockBit 3.0 использует шифрование AES и RSA и предоставляет различные возможности по настройке вымогательского ПО LockBit.
-----

LockBit - это группа разработчиков вымогательского ПО, действующая с 2019 года и предоставляющая своим филиалам услугу "вымогательство как услуга" (ransomware-as-a-service). Группа LockBit выпускала различные версии и инструменты, чтобы удовлетворить рыночный спрос. Сборка LockBit 3.0 и бинарные файлы DLL были широко известны только в сентябре 2022 года, когда произошла их утечка на GitHub. Это позволило защитникам провести дальнейший анализ и лучше понять эту программу, а также дало возможность другим группировкам злоупотреблять конструктором LockBit.

Конструктор LockBit предоставляет различные возможности для настройки вымогательского ПО LockBit, такие как параметры конфигурации, изменяющие поведение LockBit, типы бинарных файлов и различные методы обфускации, такие как защита парольной фразой и самоудаление. LockBit 3.0 также использует AES и RSA для гибридного шифрования. Кроме того, LockBit был обновлен для работы с различными операционными системами, такими как Windows, Linux/ESXi и MacOS X.

#ParsedReport #CompletenessLow
22-08-2023

Fake Roblox packages target npm with Luna Grabber information stealing-malware

https://www.reversinglabs.com/blog/fake-roblox-api-packages-luna-grabber-npm

Report completeness: Low

Actors/Campaigns:
Brainleeches

Threats:
Lunagrabber
Luna
Typosquatting_technique
Supply_chain_technique
Turkorat

Victims:
Developers who write scripts to run on the roblox gaming platform, users of the roblox platform

Industry:
Entertainment

IOCs:
File: 2
Hash: 24

Soft:
roblox, node.js roblox, discord, pyinstaller

Languages:
javascript, python

Links:
https://github.com/Smug246/Luna-Grabber
https://github.com/noblox/noblox.js#installation

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют метод "опечаток" для того, чтобы обмануть разработчиков и заставить их загрузить вредоносный код из открытых репозиториев, что представляет угрозу для разработчиков, использующих для своих проектов библиотеки с открытым исходным кодом.
-----

С начала августа исследователи ReversingLabs обнаружили более десятка вредоносных пакетов в публичном репозитории npm. Вредоносные пакеты пытались имитировать легитимный пакет noblox.js - Node.js Roblox API wrapper, используемый для написания скриптов, взаимодействующих с игровой платформой Roblox. Вредоносные пакеты содержали код из легитимного пакета noblox.js, но добавляли вредоносные функции для кражи информации.

Эта вредоносная кампания похожа на ту, которая была обнаружена два года назад исследователями Sonatype, когда в состав пакетов включались вредоносные скрипты, используемые после установки, для доставки программ-вымогателей. Нынешняя кампания, обнаруженная ReversingLabs, похожа на эту, но вместо выкупного ПО в качестве полезной нагрузки используется Luna Grabber, вредоносная программа с открытым исходным кодом, предназначенная для кражи информации из локальных веб-браузеров пользователей и приложений Discord. Подобные многоступенчатые вредоносные пакеты чаще всего встречаются на платформах с открытым исходным кодом, таких как Python Package Index (PyPI).

Целью этой кампании были разработчики, пишущие скрипты для игровой платформы Roblox. К счастью, влияние этой кампании было ограничено: всего 963 загрузки трех различных вредоносных пакетов. Суммарный трафик трех вредоносных пакетов составил около 1000 загрузок, при этом наиболее посещаемым оказался noblox.js-vps - 585 загрузок.

Угрозы постоянно таятся в репозиториях открытого кода, поэтому выбор пакета для включения в процесс разработки становится критически важным. Вредоносные субъекты используют метод typo squatting для того, чтобы обмануть разработчиков и заставить их загрузить вредоносный код под видом легитимных пакетов с аналогичными названиями, поэтому разработчикам следует помнить о потенциальных опасностях, связанных с загрузкой пакетов из открытых репозиториев.

#ParsedReport #CompletenessHigh
22-08-2023

Analyzing the new attack activity of the Andariel group

https://asec.ahnlab.com/ko/56256

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Kimsuky

Threats:
Blackremote_rat
Goatrat
Nukesped_rat
Volgmer
Andardoor
Tiger_rat
Watering_hole_technique
Supply_chain_technique
Magicrat
Kisa
Carbon
Dotfuscator_tool
Log4shell_vuln
Mimikatz_tool
Backdoor/win.agent.r562183
Backdoor/win.andargodoor.c5405584
Backdoor/win.durianbeacon.c5472659
Backdoor/win.durianbeacon.c5472662
Backdoor/win.durianbeacon.c5472665
Backdoor/win.goat.c5472627
Backdoor/win.goat.c5472628
Backdoor/win.goat.c5472629
Infostealer/win.agent.c5472631
Trojan/win.agent.c5393280
Trojan/win.agent.c5451550
Trojan/win.andarinodoor.c5382101
Trojan/win.andarinodoor.c5382103
Trojan/win32.rl_mimikatz.r366782
Infostealer/mdp.behavior.m1965

Victims:
Domestic corporations and institutions, universities, transportation, and ict companies

Industry:
Education, Telco, Transport, Energy

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
File: 10
Hash: 28
Command: 1
Path: 5
Url: 13
IP: 16
Domain: 4

Soft:
vmware horizon, internet explorer, chrome

Algorithms:
xor

Win Services:
netsvc

Languages:
php, dotnet, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающая группа Andariel - это группа, которая в основном атакует отечественные корпорации и учреждения и известна тем, что использует фишинг (spear phishing), атаки "водяной ямы" (watering hole) и атаки по цепочке поставок в процессе первоначального проникновения. Недавно было обнаружено, что эта группа распространяет вредоносный код через уязвимые версии Innorix Agent и атакует отечественные компании, занимающиеся производством оборонного и электронного оборудования. Пользователям следует принять меры предосторожности для блокирования заражения этими вредоносными кодами, обновив последние патчи и V3 для программ до последней версии.
-----

Угрозы группы Andariel направлены в основном против отечественных корпораций и учреждений, атакуя такие сферы, как национальная оборона, политические организации, судостроение, энергетика и телекоммуникации.

Известно, что в процессе начального проникновения они используют фишинговые атаки, атаки "водяных ям" и атаки на цепочки поставок.

В феврале 2023 года было обнаружено, что они распространяют вредоносный код среди пользователей уязвимой версии Innorix Agent.

Вредоносные коды, используемые в атаке, в основном относятся к типу backdoor, и ни один из ранее известных типов не существует.

В марте 2023 года группа Andariel атаковала отечественные предприятия оборонной промышленности и электронной техники и распространяла вредоносные коды, предположительно, методом spear phishing.

В атаке использовались TigerRat, NukeSped и AndarLoader.

Вредоносные программы Durian, Goat RAT и AndarLoader были собраны вместе в одно и то же время в одной и той же системе, и бывают случаи, когда C&C-серверы вредоносных кодов backdoor являются общими.

Особенно осторожно пользователи должны относиться к вложениям в электронные письма из неизвестных источников или исполняемым файлам, загружаемым с веб-страниц.

#ParsedReport #CompletenessMedium
22-08-2023

Carderbee: APT Group use Legit Software in Supply Chain Attack Targeting Orgs in Hong Kong

https://symantec-enterprise-blogs.security.com/threat-intelligence/carderbee-software-supply-chain-certificate-abuse

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Axiom

Threats:
Supply_chain_technique
Carbon
Plugx_rat
Budworm
Luckymouse
Poortry

Victims:
Gambling company in hong kong, other organizations in asia

Geo:
China, Chinese, Asia

IOCs:
File: 3
Url: 3
Hash: 17
IP: 2
Domain: 7

Soft:
moveit, x_trader

Algorithms:
sha256

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Carderbee - группа (Advanced Persistent Threat, APT), которая стояла за атакой на цепочки поставок с использованием бэкдора Korplug (также известного как PlugX) на компьютерах жертв. Для подписи вредоносной программы злоумышленники использовали легитимный сертификат Microsoft, а большинство жертв находились в Гонконге. Эта атака привлекла внимание к тому, как важно организациям сохранять бдительность в отношении атак на цепочки поставок программного обеспечения.
-----

Carderbee - недавно выявленная группа угроз (Advanced Persistent Threat, APT), которая стояла за атакой на цепочки поставок, включавшей установку на компьютеры жертв бэкдора Korplug (также известного как PlugX). Эта атака была необычна тем, что злоумышленники использовали вредоносное ПО, подписанное легитимным сертификатом Microsoft. Большинство жертв этой кампании находились в Гонконге, а некоторые - в других регионах Азии. Вредоносное обновление было отправлено через программу Cobra DocGuard Client, разработанную китайской компанией EsafeNet.

Компания EsafeNet принадлежит китайской фирме NSFOCUS, специализирующейся на информационной безопасности. Впервые об этой атаке стало известно после того, как в сентябре 2021 года с помощью аналогичной методики Budworm (также известной как LuckyMouse, или APT27) была взломана игорная компания в Гонконге. В то же время был обнаружен новый вариант вредоносной программы Korplug, в котором использовался магический заголовок ESET, указывающий на то, что он был модифицирован для попытки обойти продукты ESET.

В апреле 2023 года команда Symantec Threat Hunter Team компании Broadcom также выявила вредоносную активность, связанную с тем же ПО Cobra DocGuard. Однако доказательств связи атаки с Budworm обнаружено не было, что позволило отнести ее к новой группе - Carderbee. Около 2 тыс. компьютеров имели установленное ПО Cobra DocGuard, однако только около 100 компьютеров были заражены вредоносным ПО, что позволяет предположить, что злоумышленники нацелились на конкретные жертвы.

Вредоносное ПО доставлялось на компьютеры с помощью загрузчика, подписанного сертификатом Microsoft Windows Hardware Compatibility Publisher. Этот загрузчик пытался загрузить файл с именем update.zip, содержащий драйверы x64 и x86, которые сбрасывались в зависимости от системного окружения. Затем дроппер создавал службы и записи реестра, которые считывали зашифрованные данные из реестра, расшифровывали их и внедряли в файл svchost.exe, что приводило к установке бэкдора Korplug.

Эта атака была особенно сложной, поскольку злоумышленники использовали атаку по цепочке поставок и подписали вредоносное ПО, чтобы остаться незамеченными. Пока неясно, на какие отрасли была направлена эта атака и есть ли какие-либо связи между Carderbee и другими агентами, такими как Budworm. Атаки на цепочки поставок ПО остаются серьезной проблемой, и только за последний год было зафиксировано несколько громких примеров, что свидетельствует о важности бдительности организаций в борьбе с подобными угрозами.

#ParsedReport #CompletenessMedium
22-08-2023

nao_sec. GroundPeony: Crawling with Malice

https://nao-sec.org/2023/08/groundpeony-crawling-with-malice.html

Report completeness: Medium

Threats:
Follina_vuln
Dll_sideloading_technique
Cobalt_strike
Beacon

Victims:
Taiwanese government agencies, nepal's government website, east and south asian countries, government organizations in east and south asia, research institutions, and telecoms

Industry:
Education, Telco, Media, Government, Maritime

Geo:
Asia, Chinese, Taiwan, China, Belarus, Nepal, Taiwanese, Usa, Asian, India

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...

IOCs:
File: 5
IP: 3
Domain: 1
Hash: 10

Soft:
pyinstaller

Algorithms:
zip, xor

Functions:
Mandiant

Win API:
VirtualAlloc, RtlDecompressBuffer

Languages:
python, javascript

Links:
https://github.com/nao-sec/materials/blob/master/HITCON2023/GroundPeony\_Crawling\_with\_Malice.pdf

#ParsedReport #ExtractedSchema

Classified images:
code: 12, schema: 6, chart: 1, dump: 3, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GroundPeony - агрессивная APT-группа, атакующая правительственные организации в Восточной и Южной Азии, в частности на Тайване и в Непале. Они используют такие коварные приемы, как подделка легитимных веб-сайтов для распространения вредоносного ПО, использование уязвимостей "нулевого дня", обфускация URL и многоступенчатые загрузчики. Важно следить за их дальнейшим развитием, чтобы опередить их и принять меры противодействия их атакам.
-----

GroundPeony - это китайско-немецкая группа, действующая как минимум с 2021 года и атакующая правительственные организации в Восточной и Южной Азии, в частности на Тайване и в Непале. Группа использует такие коварные приемы, как подделка легитимных сайтов для распространения вредоносного ПО, обфускация URL-адресов и использование многоступенчатых загрузчиков. Они также используют уязвимости "нулевого дня", такие как CVE-2022-30190, известная также как Follina.

В марте 2023 года в адрес правительства Тайваня было направлено фишинговое письмо с вложением файла DOC, содержащего URL-адрес для загрузки ZIP-файла с вредоносным ПО. URL-адрес перенаправлял на сайт тайваньского учебного заведения, который был взломан. Внутри ZIP-файла находились два EXE-файла, TXT-файл и каталог под названием $RECYCLE.BIN, содержащий четыре DOCX-файла, которые, собственно, и являлись вредоносным ПО. Вредоносная программа исполняется с помощью двух файлов с расширением EXE, входящих в состав ZIP-файла: .exe и Install.exe. mic.exe - это легитимный файл с цифровой подписью, который загружает файл version.dll, находящийся в том же каталоге. version.dll декодирует файл mic.doc и исполняет его как шелл-код, который далее декодирует сам себя и продолжает исполнение.

Аналогичная атака была проведена в Непале, где был взломан легитимный сайт и установлен ZIP-файл. C&C-сервер, использовавшийся в предыдущей атаке на Непал, применялся и в других атаках, в том числе в апреле 2022 года с использованием CVE-2022-30190. В атаке на Непал вредоносная программа ведет себя аналогичным образом. При выполнении EXE-файла он копирует и переименовывает файл и запускает файл mic.exe. mic.exe загружает version.dll. Затем version.dll считывает, декодирует и исполняет файл mic.doc. Выполненная вредоносная программа была такой же, как и предыдущая, и называлась micDown.

GroundPeony - агрессивная APT-группа, мотивы и характер атак которой до сих пор остаются неизвестными. Судя по всему, ее целью являются правительственные учреждения, исследовательские институты и телекоммуникационные компании. Важно следить за дальнейшими действиями этой группы, чтобы опережать ее и иметь возможность принимать конкретные меры противодействия ее атакам.

#ParsedReport #CompletenessLow
23-08-2023

From Conti to Akira \| Decoding the Latest Linux & ESXi Ransomware Families

https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Conti
Monti
Akira_ransomware
Trigona
Lockbit
Babuk
Hellokitty

Victims:
Educational institutions, financial, manufacturing, real estate, medical industries

Industry:
Healthcare, Financial

IOCs:
File: 2
Hash: 7

Soft:
esxi, esxcli

Algorithms:
exhibit

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что в последние годы наблюдается рост числа атак Linux ransomware, и организации должны сохранять бдительность и адаптивность своей защиты, чтобы защитить свои активы от этих атак.
-----

Рост числа программ-вымогателей для Linux - новая тенденция в кибернетических атаках. Операторы программ-вымогателей сокращают временные промежутки между выпусками полезной нагрузки и обеспечивают паритет функциональности различных платформ. Такие семейства вымогательского ПО, как Conti, Babuk и Lockbit, способны атаковать как Linux, так и среды VMWare ESXi. MONTI locker имеет историю, восходящую к середине 2022 года, с несколькими параметрами командной строки. Он способен обновлять файл MOTD, а после заражения серверы, зашифрованные MONTI Locker, будут отображать настроенную записку с выкупом. Akira ransomware - еще одно семейство, наблюдаемое с июня 2023 года. Оно известно как атакующее образовательные учреждения, а также предприятия финансовой, производственной, риэлторской и медицинской отраслей. Его часто узнают по брендингу и темам в ретро-стиле. Trigona - семейство вымогательских программ, впервые обнаруженное в июне 2022 года, имеет самый большой разрыв между выпуском оригинальной полезной нагрузки для Windows и версий вымогательских программ для Linux. В марте 2023 года появился Abyss Locker, агрессивно атакующий среды VMware ESXi.

#ParsedReport #CompletenessHigh
23-08-2023

Unveiling the Stealthy Exploitation of Microsoft CMSTP Using Malicious LNK Files

https://cyble.com/blog/unveiling-the-stealthy-exploitation-of-microsoft-cmstp-using-malicious-lnk-files

Report completeness: High

Threats:
Uac_bypass_technique
Invicta
Quantum_locker
Conduit
Redline_stealer
Blankgrabber
Blackgrabber
Netsupportmanager_rat

Industry:
Entertainment

TTPs:
Tactics: 8
Technics: 12

IOCs:
File: 3
Path: 1
Url: 7
Hash: 33

Soft:
discord, telegram, chromium

Algorithms:
aes, sha256, sha1

Languages:
python

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 5, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Субъекты киберугроз адаптируют свою тактику, чтобы остаться незамеченными, используют вредоносные LNK-файлы, cmstp.exe и другие инструменты для выполнения прокси и обхода UAC, а также развертывают Blank Grabber, RedLine Stealer и NetSupport Manager. Организациям и пользователям необходимо принять превентивные меры для снижения рисков, связанных с этими сложными атаками.
-----

Субъекты киберугроз постоянно адаптируют свою тактику, чтобы оставаться незамеченными. В одном из недавних случаев злоумышленники использовали Microsoft Connection Manager Profile Installer (CMSTP.exe) для выполнения прокси и обхода UAC. Цепочка заражения начиналась с распространения вредоносного .zip или .iso файла, содержащего .lnk файл, замаскированный под PDF, который запускал удаленный VBScript. VBScript инициировал загрузчик PowerShell, который впоследствии активировал загрузчик PowerShell. Тот, в свою очередь, передавал вредоносный .inf-файл, при выполнении которого запускалась полезная нагрузка.

Вредоносный .inf-файл использовался для использования cmstp.exe для выполнения прокси и обхода UAC. Он создавал INF-файл (Information), содержащий путь к полезной нагрузке вредоносного ПО, и инициировал его выполнение путем запуска процесса cmstp с аргументами /au и $InfFileLocation. В данном случае скрипт пытался использовать процесс cmstp для выполнения команд, не вызывая приглашения UAC.

В число полезных нагрузок, связанных с этой атакой, входят Blank Grabber, RedLine Stealer и NetSupport Manager. Blank Grabber - это кража с открытым исходным кодом на языке Python, сопровождаемая GUI-конструктором для создания полезной нагрузки кражи. Он оснащен множеством антивирусных функций, включая обфусцированный код, ложные ошибки и привязку EXE. Он способен перехватывать данные браузера, токены Discord, игровые сессии, пароли и cookies. RedLine Stealer - коммерческий InfoStealer, доступный на киберпреступных форумах, способный похищать данные и внедрять в операционные системы дополнительные вредоносные программы. Наконец, NetSupport Manager - коммерческая RAT (Remote Administration Tool), предназначенная для легитимного удаленного доступа администраторов к компьютерам пользователей, но часто используемая не по назначению.

Использование cmstp.exe для выполнения прокси и обхода UAC свидетельствует об адаптивности злоумышленников. Кроме того, на киберпреступных форумах появились такие инструменты, как Quantum Lnk Builder, генерирующие вредоносные LNK-файлы, что упрощает злоумышленникам процесс экспериментирования с различными техниками и развертывания атак разных типов. Несмотря на то что компания Microsoft объявила об отключении макросов по умолчанию в документах Office в начале 2022 года, угрозы перешли к использованию вредоносных LNK-файлов для получения первоначального доступа. Поэтому организациям и пользователям важно сохранять бдительность и принимать превентивные меры для снижения рисков, связанных с такими сложными атаками.

#ParsedReport #CompletenessLow
23-08-2023

Agniane Stealer: Dark Web s Crypto Threat

https://www.zscaler.com/blogs/security-research/agniane-stealer-dark-webs-crypto-threat

Report completeness: Low

Threats:
Agniane
Cinoshi
Easycrypter
Process_hacker_tool
Netstat_tool
Confuserex_tool

ChatGPT TTPs:
do not use without manual check
T1193, T1059.001, T1083, T1082, T1036, T1064, T1089, T1057, T1045, T1055, have more...

IOCs:
Url: 2
File: 6
Hash: 7

Soft:
telegram, discord, winscp, virtualbox, chromium, browserpass, authy, aegis, lastpass, keepass, have more...

Wallets:
tronlink, nifty, metamask, math_wallet, coinbase, binancechain, brave_wallet, guarda_wallet, equal_wallet, bitapp, have more...

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
GetModuleHandle, GetPropertyValue, GetEnumerator

Win API:
CheckRemoteDebuggerPresent

Platforms:
x86

Links:
https://github.com/yck1509/ConfuserEx

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Agniane Stealer - это вредоносная платформа, способная похищать учетные данные, системную информацию и данные сеансов из браузеров, токенов и средств передачи файлов. Кроме того, она активно атакует криптовалютные расширения и кошельки и использует методы антианализа, чтобы избежать обнаружения. Он доступен для продажи на темных веб-форумах и представляет собой значительную угрозу в сфере кибербезопасности.
-----

Команда Zscaler ThreatLabz недавно обнаружила новое семейство похитителей информации: Agniane Stealer. Это вредоносное ПО является частью вредоносной платформы Cinoshi Project, которая была обнаружена в начале 2023 года. Agniane Stealer похищает учетные данные, системную информацию и сведения о сеансах работы с браузерами, токенами и средствами передачи файлов. Кроме того, он активно атакует криптовалютные расширения и кошельки и передает похищенные данные на командно-контрольные (C&C) серверы, где угрожающие лица могут действовать на основе похищенной информации. Agniane Stealer был доступен для продажи на нескольких форумах в "темной паутине" и с течением времени становится все более изощренным.

Agniane Stealer написан на языке C# и отлично криптован массовыми крипторами. Он поддерживает кражу паролей и cookies из браузеров, сбор сессий Telegram, токенов Discord, сессий Steam, сессий Winscp и Filezilla, сохранение скриншотов, сбор информации о компьютере жертвы, запрет запуска на виртуальных компьютерах, защиту от Virustotal, AnyRun, повторных логов и пустых логов, сбор файлов с рабочего стола и документов пользователя. Для поддержания и регулярного обновления функционала и средств уклонения вредоносная программа использует упаковщики.

Наша команда Zscaler ThreatLabZ наблюдала Agniane Stealer и его разновидности в природе. Мы заметили, что последняя версия Agniane Stealer использует ConfuserEx Protector и применяет больше методов обфускации по сравнению с предыдущей версией. Это затрудняет его обнаружение модулями безопасности. Помимо возможностей захвата форм, Agniane Stealer также использует качества клиппера для эксфильтрации криптовалютных данных с широкой поддержкой почти 70+ криптовалютных расширений и 10+ криптовалютных кошельков.

Agniane Stealer оснащен технологиями антианализа, которые помогают ему обнаруживать и избегать обнаружения. Он вызывает Windows API CheckRemoteDebuggerPresent, чтобы проверить, запущен ли он в отладчике, и в случае положительного ответа выходит из памяти. Он также использует WMI-запросы для определения того, запущен ли он в виртуальной среде. Agniane Stealer также пытается получить handle нескольких DLL с помощью функции GetModuleHandle, чтобы скрыть себя от возможного обнаружения. Кроме того, он получает от сервера данные о геолокации и завершает выполнение, если машина жертвы принадлежит хостинг-провайдеру.

Наконец, Agniane Stealer загружает все похищенные данные на удаленный сервер. После загрузки похищенных данных вредоносная программа удаляет свои следы из системы жертвы, удаляя вложенную папку. Agniane Stealer является грозным дополнением к арсеналу вредоносных программ Cinoshi Project и представляет собой серьезную угрозу в сфере кибербезопасности. Специалисты по безопасности должны сохранять бдительность, проводить постоянные исследования и мониторинг активности, чтобы не пропустить эту опасную вредоносную программу.

#ParsedReport #CompletenessHigh
23-08-2023

Malware-as-a-Service: Redline Stealer Variants Demonstrate a Low-Barrier-to-Entry Threat

https://blog.eclecticiq.com/redline-stealer-variants-demonstrate-a-low-barrier-to-entry-threat

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Redline_stealer
Timestomp_technique
Rig_tool

Industry:
Biotechnology, Financial

Geo:
Ukrainian, Finland, Asia, Ukraine, Austrian, Russia, Austria, Malaysian

TTPs:
Tactics: 6
Technics: 23

IOCs:
IP: 4
Hash: 20

Soft:
chrome, coowon, windows service, chatgpt

Wallets:
coinomi

Algorithms:
rc4, xor